La surveillance fait partie du système de contrôle interne (SCI), et donc de l’organisation de l’IP qui compte parmi les tâches de l’organe suprême ne pouvant être déléguées (art. 51a al. 1 et 2 let. f LPP / art. 49 al. 2 chif. 7 LPP). Le conseiller à la protection des données participe à l’application des prescriptions en matière de protection des données (art. 10 nLPD / art. 25ss nOLPD). Il ne doit obéir à aucune instruction de la part du responsable, à savoir l’organe suprême de l’IP. Cette dernière doit garantir au conseiller à la protection des données l’accès à toutes les informations, aux documents et aux registres des activités de traitement ainsi qu’aux données personnelles requises pour l’exercice de ses tâches (art. 27 al. 1 let. a nOLPD), à condition qu’aucune disposition de la LPP ne s’y oppose. Plusieurs organes fédéraux peuvent également désigner ensemble un conseiller à la protection des données (art. 25 nOLPD). L’organisation et la gestion de l’IP sont vérifiés par l’organe de révision, lequel doit attester l’existence d’un contrôle interne approprié dans son rapport (art. 35 al. 1 OPP2).
Voir Marc Hürzeler/Raffaella Biaggi, art. 52c LPP, in: Marc Hürzeler/Hans-Ulrich Stauffer (éd.), Basler Kommentar. Berufliche Vorsorge, Bâle 2021, N° 9.